Learnit Training
[link]

Cybersecurity: hoognodige tips en tools

Bedrijven die privacygevoelige informatie doorverkopen, lekken in de beveiliging en in omvang toenemende cybercriminaliteit: nog nooit was digitale veiligheid en privacy zo’n veelbesproken onderwerp als nu. Netwerk- en systeembeheerders en programmeurs hebben een flinke kluif aan de beveiliging, want anno 2018 is er meer dan alleen een goed wachtwoord voor nodig om gegevens te beschermen. Ook is de 'traditionele' e-mail met een hyperlink of besmette bijlage al lang niet meer het enige risico voor bedrijven en particulieren en zijn er inmiddels nieuwe technieken om ongevraagd computers of databases binnen te dringen. Daarom werd het hoog tijd om in kaart te brengen hoe we onze online veiligheid kunnen verbeteren!

Campagne

Twee derde van de Nederlanders denkt dat de kans om slachtoffer te worden van internetcriminaliteit toeneemt, maar slechts een klein deel daarvan blijkt ook echt maatregelen te nemen om zichzelf beter te beveiligen. Reden genoeg voor het ministerie van Veiligheid en Justitie om een campagne te lanceren. Deze campagne is erop gericht Nederlanders beter te wapenen tegen online bedreigingen. Een aantal simpele handelingen zorgen er immers voor dat criminelen minder eenvoudig bij de gewenste informatie kunnen komen.

Grotere vissen

Echter, steeds meer cybercriminelen richten zich tegenwoordig op de grotere vissen in de digitale vijver. Ter illustratie: bijna 30 procent van de bedrijven uit de financiële- en energiesector kregen te maken met aanvallen van buitenaf, zo blijkt uit cijfers van het CBS. Bij banken zorgde dit voor uitvallende systemen. Bij energiebedrijven ging het vaak om data die vernietigd, verminkt of gestolen werden. In beide gevallen liep de schade flink in de papieren. Cybercriminaliteit kost bedrijven jaarlijks, schrik niet, zo’n 10 miljard euro.

Cyberincidenten

Aanvallen komen niet altijd van buitenaf. Een gebrek aan kennis over dit onderwerp kan er bij het personeel voor zorgen dat verkeerde links worden aangeklikt of vertrouwelijke informatie wordt gedeeld met de verkeerden. Storingen of lekken op ICT-gebied zijn daarnaast ook een boosdoener. Volgens het CBS heeft 43 procent van de bedrijven wel eens te maken gehad met dit soort ‘cyberincidenten’. Deze incidenten leiden even vaak tot kosten als een aanval van buiten, terwijl oplossingen vaak binnen handbereik liggen. Hierbij kan je denken aan voorlichting en training van het personeel, waardoor korte metten gemaakt wordt met de kennis- en handelingsproblemen.

Meldingen

Het is duidelijk dat het zaak is om je eigen cybersecurity goed voor elkaar te hebben. De politie is nog altijd bezig met het aantrekken van expertise op het gebied van cybercriminaliteit. Zij erkennen dat de kennis en kunde nog niet altijd en overal voldoende aanwezig is. Opmerkelijk is dat 4 van de 5 slachtoffers van cybercriminaliteit verzuimen dit te melden, wat het moeilijker maakt voor de politie om patronen te herkennen, de omvang kan meten en zaken op te lossen.

Handige tools

Op één of andere manier komen we allemaal wel eens in aanraking met cybercriminaliteit. Dit kan bijvoorbeeld via een e-mail zijn waarin je wordt aangespoord je bankgegevens in te vullen. Ook kan het zomaar zijn dat je wachtwoord is opgedoken in een lijst die in maart gepubliceerd werd, waarmee meer dan 3,3 miljoen wachtwoorden op straat kwamen te liggen. Gelukkig zijn er handige websites die je met een aantal simpele tips kunnen helpen om je account beter te beveiligen, zoals de website van Laat Je Niet Hack Maken. Nog een handige tool om je veiligheid bij de basis aan te pakken is de website Test Je Wachtwoord. Aan de hand van een puntensysteem zie je bij het intikken van een wachtwoord precies hoe hackbestendig deze is. Tot slot misschien wel de meest originele tool die we tegenkwamen op het web: Alert Online. Deze website geeft je door middel van een game inzicht in jouw online veiligheid en je kennis hiervan. Tijdens dit vragenspel kom je er achter of jouw kennis aan de norm voldoet of dat je wellicht nog een aantal maatregelen moet treffen.

Trainingen

Proberen te voorkomen dat je in een dergelijke situatie komt lijkt in ieder geval de beste oplossing. Online tools zijn handig, maar om de kans dat jij of jouw organisatie slachtoffer wordt van cybercriminaliteit nog verder te minimaliseren, bieden we bijj Learnit veel trainingen aan op het gebied van ICT-beveiliging. Deze zijn toegankelijk voor zowel voor particulieren als bedrijven. Bekijk het overzicht van verdiepende cursussen in deze categorie en kijk welke training op maat bij jou past!

[link]

Bezoekerswachtwoorden veilig opslaan met PHP? Gebruik Hashing!

Ook deze week was het weer flink raak: de wachtwoorden van miljoenen internet gebruikers liggen op straat. Terwijl de maker van de website dit eenvoudig hadden kunnen voorkomen.

Wat is het gevaar?

In tegenstelling tot computers zijn mensen niet echt goed in onthouden. Toch moet je overal wachtwoorden voor onthouden. Met als gevolg dat veel mensen één wachtwoord gebruiken voor meerdere websites. Dit brengt een groot beveiligingsrisico met zich mee. Als een wachtwoord uitlekt zijn gelijk alle accounts toegankelijk waar dit wachtwoord is hergebruikt.

Hoe voorkom je diefstal van bezoekerswachtwoorden?

De beste oplossing om wachtwoorden niet te laten stelen, is ze simpelweg niet te bewaren! In plaats daarvan gaan we de hash van het wachtwoord opslaan. Een hashfunctie maakt een wachtwoord onherkenbaar. Op basis van de hash is het onmogelijk de invoer te achterhalen. Een hashfunctie levert altijd hetzelfde resultaat op bij dezelfde invoer. Een sterke hashfunctie zorgt daarbij ook voor dat twee verschillende teksten niet in dezelfde hash resulteren (als dit wel gebeurt is er sprake van een collision). Zelfs als het hackers lukt om een database met hashes te bemachtigen hebben ze nog geen wachtwoorden in handen.

Hoe gebruik je de hash functies van PHP?

Sinds PHP 5.5 is het erg eenvoudig geworden om wachtwoorden te hashen met behulp van de functie password_hash(). Deze functie heeft één verplicht argument: het wachtwoord. Daarbij kan met het tweede argument aangegeven worden welk hashing algoritme er gebruikt moet worden. Als je dit niet opgeeft wordt er standaard gebruik gemaakt van het sterke BCrypt algoritme. Naast hashing voegt deze functie ook een Salt toe, die beschermt tegen Rainbow Tables. Het genereren van de hash gaat als volgt:

 
  $wachtwoord = 'Geheim-Wachtwoord';
  $hash = password_hash($wachtwoord, PASSWORD_BCRYPT);
  echo $hash;

De gegenereerde hash is een tekenreeks van 60 karakters en kan er als volgt uit zien: $2y$10$Se3mLsHueAYTM­3G4Wd9hTuyfzPCRYtafI­mcOSO2U0H4290jPU.SGO. Uit deze hash is het onmogelijk het wachtwoord te achterhalen. Deze hash kun je dus veilig in je database opslaan.

Om te controleren of iemand een correct wachtwoord heeft ingevoerd gebruiken we de functie password_verify(). Deze geven we twee argumenten mee, het wachtwoord dat is ingevoerd bij inloggen en de hash die we hadden opgeslagen.


  $hash = '$2y$10$Se3mLsHueAYTM3G4Wd9hTuyfzPCRYtafImcOSO2U0H4290jPU.SGO';
  $wachtwoord = 'Onzin';

  if (password_verify( $wachtwoord, $hash)){
      echo 'Correct wachtwoord';
  } else {
    echo 'Incorrect wachtwoord';
  }

In dit geval zal het gebruikerswachtwoord een andere hash opleveren dan in onze database stond opgeslagen. Zo kunnen we controleren of het ingevoerde wachtwoord correct is, zonder het originele wachtwoord op te hoeven slaan. Zelfs als een hacker toegang krijgt tot onze database is er geen wachtwoord te vinden.